Má configuração expõe informações de quase 40 milhões de utilizadores

Dezenas de grandes empresas, agências governamentais e outras organizações que configuraram incorretamente o seu software Microsoft, inadvertidamente, expuseram milhões de informações pessoais de pessoas à Internet pública durante meses.

A má configuração, que afetou, pelo menos, a American Airlines, a Ford, o departamento de saúde do estado de Maryland e a Autoridade de Transporte Metropolitano de Nova Iorque, entre outros, levou à exposição de pelo menos 38 milhões de registos, incluindo informações de funcionários, bem como dados relacionados com as vacinas Covid-19, rastreamento de contatos e marcações de testes. A informação foi revelada pela empresa de cibersegurança UpGuard, que descobriu o problema.

Depois de a UpGuard ter notificado – de forma privada - a Microsoft e as organizações afetadas, o data leak foi bloqueado e a capacidade de aceder às informações foi removida. No entanto, enquanto as informações não estavam seguras, nomes, números de segurança social, números de telefone, datas de nascimento, informações demográficas, endereços e até mesmo datas de testes e dados de filiação sindical estavam disponíveis para qualquer pessoa com conhecimento e motivação para os procurar.

Os dados expostos foram armazenados no serviço PowerApps da Microsoft, uma plataforma de desenvolvimento que facilita a criação de aplicações web ou móveis para uso externo. Além de gerir bancos de dados internos e oferecer uma base para desenvolver aplicações, a plataforma PowerApps também fornece interfaces de programação de aplicações prontas para interagir com esses dados.

Os investigadores da Upguard perceberam que, ao habilitar essas API, a plataforma padronizou para tornar os dados correspondentes acessíveis publicamente. A ativação das configurações de privacidade foi um processo manual. Como resultado, muitos clientes configuraram incorretamente as suas aplicações e deixaram, por padrão, as mesmas inseguras.